Alerte sécurité Confluence - Valiantys - Atlassian Platinum Partner

Visionnez nos Webinars à la demande | Agilité à l'échelle, IT Service Management, Cloud, Bonnes pratiques Jira, Témoignages clients... Cliquez-ici !

valiantys-logo
Back

Alerte sécurité Confluence

Atlassian a fait une alerte sur des problèmes de sécurité sur plusieurs bricks fonctionnelles de Confluence. Ces problèmes ne sont pas apparus ces derniers jours, Atlassian a simplement fait un rappel des différentes failles découvertes et corrigées sur Confluence.

Si vous souhaitez avoir un aperçu sur la simplicité de récupérer les données du compte admin regardez cette vidéo faite par la responsable sécurité d’Atlassian lors de l’AtlasCamp 2010 à San Francisco au quel nous avons participé.

Les risques d’utilisation de ces failles sont assez faibles si votre instance Confluence n’autorise pas le ‘Public Sign In’.
Si votre instance délègue la gestion des comptes utilisateurs à un LDAP ou si seulement l’administrateur de Confluence peut créer des comptes alors le danger ne pourra venir que d’une personne interne.

Il n’y a pas d’obligation de mettre à jour votre instance Confluence à la dernière version (3.4.6) qui corrige toutes les failles listées. La grande majorité de ces failles identifiées peuvent être corrigée en faisant simplement une mise à jour des plugins installés via l’interface d’administration de Confluence. Il se peut même que vous ayez des versions de plugins supérieures à celles qui corrigent les failles.

Vous trouverez sur la page indiquée en début de billet toutes les recommandations et les liens pour le téléchargement des plugins.

En synthèse voici la liste des versions de plugins qui colmatent les failles:

  • socialbookmarking-1.3.4.jar
  • confluence-dashboard-macros-1.13.1.jar ou confluence-dashboard-macros-3.4.4.jar (pour Confluence 3.4.X)
  • confluence-advanced-macros-1.9.2.jar ( <= Confluence 3.3.X) ou confluence-advanced-macros-1.12.3.jar ( pour Confluence 3.4.X)
  • pagetree-1.20.jar

Il reste malgré tout deux fichiers à mettre à jour qui demanderont un arrêt relance de votre serveur d’application. Ces fichiers sont à mettre à jour seulement pour les versions antérieures à Confluence 3.4.1. (ils ont été corrigés sur les versions supérieures)

Mettre à jour dans votre Webapps:

CONFLUENCE_INSTALL_DIR/confluence/WEB-INF/lib/
– atlassian-renderer-6.0.6.jar ( <= Confluence 3.3.X) ou atlassian-renderer-6.2.jar ( pour Confluence 3.4.0)

CONFLUENCE_INSTALL_DIR/confluence/pages/includes/
– attachments-table.vm.zip ( <= Confluence 3.3.X) ou attachments-table-3.4vm.zip ( pour Confluence 3.4.0) N’oubliez pas de dézipper ce fichier !

Cutted Triangle

Inscrivez-vous à notre newsletter

Demande enregistrée ! Demande en cours... Ceci n'est pas un email Une erreur s'est produite

Conformément à notre politique de confidentialité, nous nous engageons à respecter vos données personnelles.

Contactez-nous

Nos consultants certifiés Atlassian seront ravis de vous répondre.

Rejoindre Valiantys

Nous sommes en train de construire un équipe extraordinaire. Vous en êtes ?

Suivez-nous

Nous utilisons des cookies pour le fonctionnement de ce site, pour améliorer son utilisation, personnaliser votre expérience et réaliser des statistiques de visite. Vous pouvez gérer les paramètres et choisir d’accepter ou non certains cookies durant votre navigation. Pour plus d’informations, consultez notre politique de confidentialité. Nos politique de confidentialité

Paramètres de confidentialité

Afin de faciliter votre navigation et de vous apporter le meilleur service possible, nous utilisons des cookies pour améliorer le site aux besoins des visiteurs, notamment selon la fréquentation.  Pour plus d’informations, consultez notre politique de confidentialité. Nos politique de confidentialité

Recaptcha

Google reCAPTCHA est un système conçu pour distinguer les humains des ordinateurs, de telle sorte que les bots soient incapables de remplir les formulaires de manière malveillante au nom d’un être humain.

Analytics

Utilisé pour envoyer des données à Google Analytics sur le périphérique et le comportement du visiteur. Suit l'internaute à travers les appareils et les canaux de marketing. Utilisé par Google Analytics pour diminuer radicalement le taux de requêtes. Enregistre un identifiant unique utilisé pour générer des données statistiques sur la façon dont le visiteur utilise le site.

LinkedIn

Cookies pour une publicité ciblée : Ces cookies peuvent être mis en place au sein de notre site Web par nos partenaires publicitaires. Ils peuvent être utilisés par ces sociétés pour établir un profil de vos intérêts et vous proposer des publicités pertinentes sur d'autres sites Web. Ils ne stockent pas directement des données personnelles, mais sont basés sur l'identification unique de votre navigateur et de votre appareil Internet. Si vous n'autorisez pas ces cookies, votre publicité sera moins ciblée.

Cookies "réseaux sociaux" : Ces cookies sont activés par les services proposés sur les réseaux sociaux que nous avons ajoutés au site Web afin de vous donner la possibilité de partager notre contenu avec votre réseau et vos connaissances. Ils nous permettent également de suivre votre navigation sur d’autres sites Web et d’établir un profil de vos intérêts. Cela peut avoir un impact sur le contenu et les messages affichés sur les autres sites Web que vous consultez. Si vous n'autorisez pas ces cookies, il se peut que vous ne puissiez pas utiliser ou visualiser ces outils de partage.